Image Image Image Image

Facebook-Bug erlaubte Löschung fremder Fotos durch Hacker

Facebook-Bug erlaubte Löschung fremder Fotos durch Hacker

Eine Sicherheitslücke ließ zu, dass man fremde Fotoalben auf Facebook mit einer schnellen Aktion löschen konnte. Eines muss man Facebook lassen: Das Security Team arbeitet offenbar gewissenhaft und zügig, wenn es um von Whitehat-Hackern gemeldete Sicherheitslücken geht. Über die Kooperation mit Geheimdiensten kann man sich streiten, aber dieser Fotolösch-Bug war flotter weg, als man gucken konnte. Wie hat der Hacker das überhaupt angestellt?

In seinem Blog erklärt der findige Laxman Muthiyah, wie er über die Facebook Graph API das System austrickste. Effektiv hätte man mit dieser Sicherheitslücke jedes beliebige Fotoalbum löschen können, weil die Schnittstelle selbst zu geschwätzig war.

In der Fehlermeldung eines ersten Löschversuchs fand sich nämlich (ein Klassiker) ein unabsichtlicher Hinweis für den Hacker, um die Sicherheitsvorkehrungen zu umgehen:

Es gebe möglicherweise Facebook Apps mit der Berechtigung, den nötigen API Call für die Löschung zu tätigen. Wieso also nicht ein wenig herumprobieren?

Response :-
{"error":{"message":"(#200) Application does not have the capability to make this API call.","type":"OAuthException","code":200}}

Mit einem Zugriffs-Token der Facebook Android App ging es dann nämlich, mit einer selbstgebauten Anfrage konnte Laxman mal eben ein eigenes Album löschen, nachdem er die ID heraussuchte und einbaute. Der nächste Versuch löschte dann ein Album von einer anderen Person, schwupp und es war weg.

Selbstverständlich ist so eine Lücke nicht gerade geschäftsfördernd für Zuckerberg und seine Crew, also wurde der Bug zügig beseitigt. Hier noch ein Video für den Prozess hinter dem netten kleinen Hack:

Facebook hat den Hacker übrigens aus freien Stücken mit einer großzügigen Bug Bounty von 12.500 US-Dollar vergütet. Bei einem technisch nicht ganz so versierten, beispielsweise deutschen Unternehmen hätte die Reaktion auf den Bug-Tipp des Hackers leider vermutlich anders ausgesehen: Strafanzeige, Ignoranz und Techpanik. Ohne den Bug schnell zu fixen.

Artikelbild-Basis: Mikael Altemark


Übrigens: Wenn Du keine Neuigkeiten, Produkt-Tests oder Artikel von uns verpassen willst, dann folge uns am besten auf Facebook oder Twitter.



Hier kannst Du Deine Meinung loswerden:

  • era

    Leider wahr. Es gibt nur wenig Unternehmen, die danke sagen für das Finden. Wobei man Amerika nachsagen muss Panikmache zu verbreiten. Man siehe brennende Autos. Jeder rennt weg obwohl es nicht explodieren kann. Aber Amerikanisches Fernsehen hat es uns so eingetrichtert. Aber davon mal abgesehen. Ja leider sind in Deutschland zuviel Menschen damit behaftet, dass jeder jedem etwas schlechtes will. Deutsche Unternehmen würden eher denken die Person hat noch den ultimativen Hack mit der Sie alles lahmlegen könnte und oder hat schon so sensible Daten geklaut und wird sie irgendwann erpressen … usw.

    Eigentlich schade.

    Lange Rede kurzer Sinn. Raffiniert von FB so gut zu vergüten. Da wird sich doch nun jeder Hacker dransetzen und Bugs suchen. Arbeitsstunden, die sie nicht vergüten müssen und am Ende dem ein oder anderen 300-15k$ je nach schwere zu geben, ist schon easy zu verkraften. Hat Microsoft nicht auch so etwas? kommt man da nicht sogar auf ne Ehrentafel?

  • Tom

    Auf Hacker News gab es zu diesem Thema auch noch eine relevante Info, die ich vergaß in den Artikel einzubauen: „If $12,500 seems like a lot of money, remember that Facebook theoretically loses $22,453 for every minute their website is down. In other words, they generate $12,500 every 33 seconds.
    Paying out that sum of money to increase the number of people searching for security flaws is quite smart.“

  • Tom

    Und jep, Microsoft ist auch ganz gut mit den Bug Bounties dabei, teilweise bis zu 100.000 US-Dollar für Bugs: https://technet.microsoft.com/en-us/library/dn425036.aspx (Also Kids! Schön brav Infosec pauken und später groß abräumen) 😉



← Menü öffnen weblogit.net | Home